Was bedeutet Stand der Technik
In Artikel 32 DSGVO steht, dass „geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“ zu treffen sind.
Und in Artikel 25 heißt es „Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen.“
Was ist der Stand der Technik?
Ein großer Streitpunkt insbesondere beim Umsetzen von Maßnahmen ist immer die Frage, was denn eigentlich Stand der Technik ist. Denn jede Technik hat eine Innovationsphase in der die Idee und die Umsetzung „reifen“ und eine Phase in der durch eine Akzeptanz und Verwendung das Produkt oder der Service eine Verbreitung findet. Ist es damit dann automatisch Stand der Technik? Die Frage lässt sich leider nicht pauschal beantworten und es kann tatsächlich dazu kommen, dass hier im Schadenfall eine rechtliche Auseinandersetzung stattfinden könnte, wenn es dazu unterschiedliche Ansichten gibt. Ebenfalls spielt hier auch der Faktor eine Rolle, ob das Ganze denn wirtschaftlich für das Unternehmen gewesen wäre, auf einen gewünschten Technikstand zu wechseln. Und zuguter letzt hat das Ganze noch mit Maßnahmen und Verfahren zu tun, die der ganzen Sache zugrunde liegen. Wie kommt man hier also weiter?
Blick zur Cyberversicherung
Die massive Zunahme der Cyberattaken hat nicht nur die Unternehmen sondern auch die Versicherer in helle Aufruhr versetzt. Die Cyberversicherung ist nämlich eine noch sehr junge Versicherungsleistung und in den Jahren der Entstehung war das Ganze ein tolles Geschäft für die Versicherer. Bereits 2020 zeichnete sich ab, dass das System kippt und die Ausgaben die Einnahmen übersteigen. Die Folge ist, dass die Prämien drastisch steigen und nur noch Unternehmen versichert werden, wenn diese entsprechende Vorleistungen zur Sicherstellung der IT-Sicherheit ergriffen haben. Wer also einen Fragebogen hierzu erhält oder gar ein Audit vom Versicherer vorgeschlagen bekommt tut gut daran, die technischen und organisatorischen Maßnahmen genau zu erfassen und anzugeben. Und hier kommt wieder der Stand der Technik ins Spiel, denn der Versicherer muss den Technikstand unter Risikogesichtspunkten bewerten, damit er die Prämie berechnen kann.
Bundesverband IT-Sicherheit
Hierzu wird gerne auf die Publikationen des Bundesverbandes IT-Sicherheit e.V. zurückgegriffen. Denn dieser publiziert jährlich eine „Handreichung zum Stand der Technik“. In diesem Dokument werden dazu Maßnahmen erläutert, wie man einen Technologiestand beurteilen kann, ebenso welche Mindeststandards sowohl organisatorisch als auch technisch vorausgesetzt werden. Ich empfehle, sich diese Lektüre anzuschauen und Ekenntnisse hieraus auch für die Beurteilung der eigenen Maßnahmen heranzuziehen. Diejenigen, die bereits Sicherheitsnormen umgesetzt haben werden viel Bekanntes erkennen und hoffentlich weitere Inspirationen erhalten.